Sous-traitants et sous-sous-traitants
Prestataires tiers qui traitent des données pour notre compte
Version 1.1 · Dernière mise à jour : 26 avril 2026
Version juridiquement contraignante
La version allemande de ce document fait foi sur le plan juridique. Les traductions dans d’autres langues sont fournies uniquement pour des raisons de commodité ; en cas de divergence ou de contradiction, la version allemande prévaut.
Conformément à l’article 28 du RGPD et à la loi fédérale suisse sur la protection des données (LPD), nous divulguons les prestataires tiers auxquels CHW-Services fait appel pour fournir le service preparAItor. Chaque prestataire a été soigneusement sélectionné et est lié par un contrat de sous-traitance répondant à nos exigences de sécurité et de conformité.
Cette liste couvre à la fois les sous-traitants (lorsque nous agissons en tant que responsable du traitement pour les utilisateurs finaux) et les sous-sous-traitants (lorsque nous agissons en tant que sous-traitant pour des clients professionnels avec avenant relatif au traitement des données). Les obligations prévues par l’article 28 du RGPD et l’article 9 de la LPD s’appliquent par analogie dans les deux cas.
Nous informons nos clients de tout changement important de cette liste (ajouts, remplacements ou modifications substantielles du périmètre) au moins 30 jours avant leur prise d’effet. Les clients professionnels disposant d’un avenant relatif au traitement des données (DPA) peuvent s’opposer à de nouveaux sous-sous-traitants pendant le délai de préavis en écrivant à admin@preparaitor.ch.
| Sous-traitant | Finalité | Catégories de données | Localisation |
|---|---|---|---|
| Google LLC (Firebase) | Authentification, base de données (Firestore), stockage de fichiers, App Check | Données de compte, contenu du CV, documents générés, données d’utilisation | europe-west6 (Zurich, Suisse) |
| Google LLC (Vertex AI / Gemini) | Génération de documents par IA, analyse de contenu, ancrage web pour l’enrichissement d’entreprise, entraînement aux entretiens (y compris le traitement transitoire de données audio lors des sessions d’entretien vocal ; les enregistrements vocaux ne sont pas conservés, seules les transcriptions chiffrées le sont). Google n’utilise pas les données clients pour entraîner ses modèles. | Contenu du CV, offres d’emploi, données d’entreprise, audio d’entretien (transitoire) et transcriptions | europe-west3 (Francfort, Allemagne) |
| Google LLC (Cloud KMS) | Gestion des clés de chiffrement pour le chiffrement au niveau des champs de données sensibles | Clés de chiffrement uniquement (aucune donnée personnelle) | europe-west6 (Zurich, Suisse) |
| Google LLC (Cloud Run) | Génération de documents PDF/DOCX et traitements lourds | Contenu du document pendant la génération | europe-west6 (Zurich, Suisse) |
| Google LLC (reCAPTCHA Enterprise) | Détection de bots et prévention de la fraude via Firebase App Check sur chaque requête API | Adresse IP, empreinte de l’appareil, signaux d’interaction | Infrastructure mondiale — garanties de transfert : DPA Google Cloud avec CCT |
| Stripe, Inc. | Traitement des paiements, gestion des abonnements, portail client, gestion des webhooks | Données de paiement, adresse de facturation, identifiant client, métadonnées de transaction | Centres de données européens (principal), avec repli vers les États-Unis |
| Brevo SAS (anciennement Sendinblue) | Envoi d’e-mails transactionnels (confirmation de compte, réinitialisation de mot de passe, notifications de facturation, notifications de documents prêts) | Adresse e-mail, nom d’affichage, contenu de l’e-mail | Union européenne (France) |
| Microsoft Corporation | Synchronisation des fichiers avec OneDrive (facultatif, uniquement lorsque l’utilisateur connecte explicitement son compte OneDrive) | Documents générés, jetons OAuth (chiffrés) | Centres de données européens (principal) |
| Google LLC (Google Drive) | Synchronisation des fichiers avec Google Drive (facultatif, uniquement lorsque l’utilisateur connecte explicitement son compte Google) | Documents générés, jetons OAuth (chiffrés) | Région du Google Drive de l’utilisateur — garanties de transfert : DPA Google Cloud avec CCT |
Garanties de transfert
- • Clauses contractuelles types (CCT) conclues avec tous les prestataires, le cas échéant
- • Contrats de sous-traitance (DPA) conclus avec chaque prestataire
- • Chiffrement en transit (HTTPS/TLS) et au repos
- • Chiffrement au niveau des champs via Google Cloud KMS pour les données personnelles sensibles
- • Localisation des données dans des centres de données européens lorsque cela est techniquement possible
- • Audits réguliers de sécurité et de conformité
- • Analyse d’impact des transferts (TIA) réalisée pour tous les flux transfrontaliers selon les exigences Schrems II
- • Aucun service tiers d’analyse ou de télémétrie utilisé (pas de Google Analytics, pas de SDK de suivi des erreurs, pas de pixels marketing)
- • Conformité à la LPD suisse et au RGPD de l’UE
Historique des modifications
- 26 avril 2026—Version 1.1 — Clarification du rôle responsable du traitement vs. sous-traitant. Précision indiquant que les données audio des entretiens vocaux sont traitées de manière transitoire par Vertex AI et ne sont pas conservées. Ajout d’une mention explicite indiquant qu’aucun service d’analyse ou de télémétrie n’est utilisé.
- 10 avril 2026—Version 1.0 — Publication initiale.
Pour toute question concernant nos sous-traitants et sous-sous-traitants, pour demander un DPA ou pour vous opposer à des changements, contactez-nous à admin@preparaitor.ch.
Voir également : Politique de confidentialité · Conditions d’utilisation